Reprezentant firmy w zgodzie z RODO

 

Firma A zatrudnia Jana Kowalskiego (JK). W umowie o pracę z nim zawiera obowiązek reprezentowania firmy A na zewnątrz przed innymi firmami, z którymi zawierają umowy. Kiedy firma A zawierał umowę z firmą B to w każdej z nich są wymienione dane osobowe (DO) JK jako reprezentanta.

Fundamentalne pytanie brzmi. Na jakiej podstawie prawnej firma B przetwarza dane JK? 

Prawnicy stoją na stanowisku, że podstawą prawną jest prawnie uzasadniony interes administratora, czyli firmy B, ale to wymaga przeprowadzenia testu równowagi. I teraz sobie wyobraźmy, że firma A i B zawierają umowę? I JK zgłasza sprzeciw na podstawie artykułu 21 RODO (do którego ma prawo). Teraz firma B musi udowodnić, że ma prawo do tych danych. Jednak test może wyjść albo nie (tu nie zgadzam się z opinią, że test równowagi wychodzi zawsze, ponieważ jest to zaprzeczenie istoty sporządzania samego testu. Tu należy założyć, że wyjdzie lub nie wyjdzie, a więc istnieje spore ryzyko, że będzie negatywny) Teraz załóżmy, że test wyszedł negatywnie, czyli nie mogą przetwarzać jego danych osobowych. 

I mamy kolejne pytanie: Czy zgodnie z prawem firma A ma prawo zwolnić JK?

Przecież nie reprezentuje go na zewnątrz, ale to firmie B nie wyszedł test równowagi i nie ma prawa przetwarzać jego danych osobowych, a JK miał prawo zgłosić taki sprzeciw.

Moje stanowisko jest takie:

Firmę A i JK wiąże umowa o reprezentowaniu jej na zewnątrz. Firma A i B zawierają umowę i wskazują JK jako reprezentanta firmy A co daje podstawę prawną przetwarzania danych osobowych JK przez firmę B, oczywiście w zakresie realizacji zapisów tej umowy. Jako podstawę przyjmuję art. 6 ust 1 lit b) „przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy”

Motyw (44) „Przetwarzanie powinno być zgodne z prawem, jeżeli jest ono niezbędne w związku z zawarciem umowy lub zamiarem zawarcia umowy”

oraz art.  96 KC „Umocowanie do działania w cudzym imieniu może opierać się na ustawie (przedstawicielstwo ustawowe) albo na oświadczeniu reprezentowanego (pełnomocnictwo)” w połączeniu wykonania go na piśmie o czym wspomina art. 99 §2 KC, ponieważ zgodnie z art. 95 §2 „Czynność prawna dokonana przez przedstawiciela w granicach umocowania pociąga za sobą skutki bezpośrednio dla reprezentowanego” a tym jest realizacja zapisów umowy. Takie stanowisko eliminuje losowość testu równowagi, który może wyjść negatywnie a tym samym firma B nie może przetwarzać DO JK a ten w konsekwencji nie może reprezentować firmy B w trakcie realizacji umowy do czego zobowiązał się w umowie między JK a firmą A. Uważam, że błąd logiczny w rozumowaniu prawników polega na założeniu, że test równowagi zawsze pozwoli przetwarzać DO reprezentanta, tu JK.

Checklist RODO na 2026 r dla firm

 

Aktualna, praktyczna lista kontrolna zgodności z RODO (stan na 2026 r.), z uwzględnieniem różnic branżowych i realiów biznesowych.

---

1. Checklist RODO – część ogólna (dla każdej firmy)

A. Podstawy organizacyjne

• ⬜ Wyznaczono administratora danych (ADO) i jasno opisano jego rolę w szczególności
          w relacji: ADO ↔ADO lub ADO ↔Procesor
• ⬜ Sprawdzono, czy konieczne jest powołanie IOD (Inspektora Ochrony Danych)
• ⬜ Zakres obowiązków IOD jest aktualny i faktycznie realizowany
• ⬜ Personel ma jasno przypisane role w przetwarzaniu danych

B. Dokumentacja RODO

• ⬜ Rejestr czynności przetwarzania (RCzP) – aktualny i kompletny
• ⬜ Polityka ochrony danych osobowych – zaktualizowana
• ⬜ Polityka bezpieczeństwa IT / informacji
• ⬜ Procedura nadawania i odbierania upoważnień
• ⬜ Procedura realizacji praw osób, których dane dotyczą
• ⬜ Procedura naruszeń ochrony danych (72h)
• ⬜ Procedura retencji i usuwania danych

C. Podstawy prawne przetwarzania

• ⬜ Każdy proces ma przypisaną właściwą podstawę prawną (art. 6 / 9 RODO)
• ⬜ Zgody są dobrowolne, konkretne, możliwe do wycofania
• ⬜ Zgody nie są „domyślne” ani ukryte w regulaminach

D. Obowiązek informacyjny

• ⬜ Klauzule informacyjne są aktualne (strona WWW, formularze, umowy)
• ⬜ Klauzule są napisane prostym językiem
• ⬜ Osoby są informowane o wszystkich celach przetwarzania

E. Umowy i podmioty przetwarzające

• ⬜ Zidentyfikowano wszystkich procesorów (IT, księgowość, HR, marketing)
• ⬜ Umowy powierzenia są aktualne i zgodne z art. 28 RODO
• ⬜ Zweryfikowano dalsze powierzenia
• ⬜ Sprawdzono transfery danych poza UE (SCC, TIA)

F. Bezpieczeństwo danych

• ⬜ Wdrożono adekwatne środki techniczne i organizacyjne
• ⬜ Stosowane są MFA, silne hasła, szyfrowanie
• ⬜ Backupy są regularne i testowane
• ⬜ Dostępy są nadawane wg zasady minimalizacji

G. Prawa osób fizycznych

• ⬜ Firma obsługuje wnioski w terminach RODO
• ⬜ Istnieje rejestr żądań
• ⬜ Personel wie, jak reagować na żądania

H. Szkolenia i świadomość

• ⬜ Regularne szkolenia RODO (min. raz w roku)
• ⬜ Szkolenia onboardingowe dla nowych pracowników
• ⬜ Testy wiedzy / potwierdzenia udziału

I. Audyty i ryzyko

• ⬜ Regularna analiza ryzyka
• ⬜ DPIA tam, gdzie wymagane
• ⬜ Audyt wewnętrzny RODO min. raz w roku

---

2. Checklist branżowa – dodatki

IT / SaaS / Software House

• ⬜ Jasny podział ról: ADO vs procesor
• ⬜ Privacy by design & by default w produktach
• ⬜ Logi i monitoring zgodne z zasadą minimalizacji
• ⬜ Procedury dla testów, środowisk DEV/TEST
• ⬜ Retencja danych klientów po zakończeniu umowy

E-commerce

• ⬜ Zgodne cookies i CMP (Consent Management Platform)
• ⬜ Zgody marketingowe oddzielone od regulaminu
• ⬜ Retencja danych klientów i kont nieaktywnych
• ⬜ Integracje z firmami kurierskimi i płatniczymi
• ⬜ Remarketing zgodny z RODO i ePrivacy

HR / Rekrutacja

• ⬜ Odrębne klauzule dla kandydatów i pracowników
• ⬜ Zgody na przyszłe rekrutacje
• ⬜ Dane wrażliwe (badania, niepełnosprawność) – szczególna ochrona
• ⬜ Okresy przechowywania CV

Marketing / Agencje

• ⬜ Jasne role: administrator czy procesor
• ⬜ Zgody na marketing zgodne z RODO i ustawami sektorowymi
• ⬜ Profilowanie opisane w klauzulach
• ⬜ Legalność baz danych

Medycyna / Zdrowie

• ⬜ Przetwarzanie danych szczególnych kategorii
• ⬜ Ograniczony dostęp do dokumentacji medycznej
• ⬜ DPIA dla systemów IT
• ⬜ Ścisła kontrola personelu i uprawnień

Edukacja / Szkolenia

• ⬜ Dane dzieci i młodzieży – dodatkowe zabezpieczenia
• ⬜ Zgody rodziców (jeżeli wymagane)
• ⬜ Wizerunek (zdjęcia, nagrania)
• ⬜ Platformy e-learningowe i dostawcy IT

---

3. Co szczególnie ważne w 2026 r.

• 🔍 Większy nacisk organów na realne stosowanie RODO, nie tylko dokumenty
• 🔍 Kontrole cookies, marketingu i transferów poza UE
• 🔍 Odpowiedzialność zarządu
• 🔍 Integracja RODO z NIS2, AI Act i cyberbezpieczeństwem

---

4. Najczęstsze błędy RODO w 2026 r.

• ❌ „RODO na papierze” – dokumentacja jest, ale procedury nie działają w praktyce
• ❌ Nieaktualny rejestr czynności przetwarzania (nowe systemy, narzędzia, integracje)
• ❌ Brak analizy ryzyka po wdrożeniu nowych technologii (AI, automatyzacje, monitoring)
• ❌ Niewłaściwe podstawy prawne – nadużywanie zgody zamiast umowy lub obowiązku prawnego
• ❌ Zgody marketingowe niezgodne z RODO i przepisami sektorowymi (cookies, e-mail, SMS)
• ❌ Brak DPIA tam, gdzie jest wymagane (profilowanie, dane wrażliwe, monitoring)
• ❌ Niedostosowane umowy powierzenia (stare wzory, brak dalszych powierzeń)
• ❌ Transfery danych poza UE bez realnej oceny ryzyka (TIA tylko „dla formalności”)
• ❌ Brak regularnych szkoleń – pracownicy nie wiedzą, jak reagować na incydenty i wnioski
• ❌ Niedotrzymywanie terminów realizacji praw osób, których dane dotyczą
• ❌ Brak testów procedury naruszeń (firma nie wie, co zrobić w 72h)
• ❌ Zbyt szerokie dostępy do danych (brak zasady minimalizacji)
• ❌ Brak powiązania RODO z cyberbezpieczeństwem, NIS2 i AI Act

---

5. Najczęstsze błędy RODO w 2026 r. – MŚP

(małe i średnie przedsiębiorstwa)

• ❌ Przekonanie „nas RODO nie dotyczy, bo jesteśmy mali”
• ❌ Kopiowanie dokumentów RODO z Internetu lub od innej firmy
• ❌ Brak rejestru czynności przetwarzania „bo nie ma czasu”
• ❌ Łączenie zgody z umową (np. klient musi wyrazić zgodę marketingową)
• ❌ Brak umów powierzenia z księgową, IT, hostingiem, CRM
• ❌ Nieświadome przekazywanie danych poza UE (narzędzia SaaS)
• ❌ Brak procedury naruszeń – panika zamiast działania
• ❌ Brak wiedzy, czym jest DPIA i kiedy jest wymagana
• ❌ Dostęp do danych „dla wszystkich, bo tak wygodniej”
• ❌ Brak szkoleń – RODO zna tylko właściciel
• ❌ Brak retencji danych (CV, klienci, maile przechowywane latami)
• ❌ Nieuaktualnione klauzule informacyjne na stronie WWW

Dlaczego Inspektor OD obsługuje dużo podmiotów w tym JST

 

Istnieje kilka praktycznych i prawnych powodów, dla których jeden Inspektor Ochrony Danych (IOD) obsługuje bardzo wiele podmiotów — często nawet 40–60, w tym jednostki samorządu terytorialnego (JST). To zjawisko jest dziś powszechne w modelu outsourcingu IOD.

🔍 1. RODO dopuszcza obsługę wielu administratorów

RODO (art. 37–39) nie ogranicza liczby podmiotów, które może obsługiwać jeden IOD — pod warunkiem, że:

• ma możliwość wykonywania zadań,
• ma zapewnione zasoby i czas,
• jego zadania nie kolidują z innymi funkcjami.

W praktyce oznacza to, że firmy outsourcingowe mogą delegować jednego IOD do wielu klientów.

💰 2. Model outsourcingowy jest tańszy i opłacalny

Dla małych gmin, szkół czy instytucji kultury:

• zatrudnienie IOD na pełen etat jest zbyt kosztowne,
• outsourcing IOD za 400–1200 zł/mies. pozwala spełnić obowiązek ustawowy.

Dla usługodawców naturalne jest więc obsługiwanie dziesiątek podmiotów, żeby model biznesowy się spinał.

🧩 3. JST mają obowiązek powołania IOD

Każda JST musi mieć IOD (art. 37 ust. 1 lit. a RODO).
Jednak gminy często mają:

• ograniczone budżety,
• niewielkie zespoły,
• brak specjalistów od ochrony danych.

Dlatego “hurtowa” obsługa JST przez zewnętrznego IOD jest dziś standardem.

🛠 4. Zadania IOD są w dużej mierze powtarzalne

Chociaż odpowiedzialność jest duża, to:

• procesy w szkołach są podobne,
• procesy w gminach są podobne,
• dokumentacja i procedury często różnią się tylko detalami.

To pozwala IOD korzystać z gotowych schematów, szablonów, audytów i raportów — więc jedna osoba może obsłużyć wiele jednostek.

⚖️ 5. Administracje tworzą grupy podmiotów

Często jeden IOD obsługuje:

• gminę,
• jednostki organizacyjne gminy,
• szkoły,
• ośrodki kultury,
• OPS,
• żłobki, itd.

Formalnie to osobne ADO, więc statystycznie IOD ma 40–60 “klientów”, choć w praktyce to jeden „pakiet gminny”.

🚨 6. Brak kontroli nad obciążeniem IOD

UODO nie określił:

• maksymalnej liczby podmiotów,
• minimalnego czasu pracy IOD,
• standardów obsługi.

W efekcie rynek działa “sam” – jeśli usługodawca deklaruje, że jeden IOD da radę 50 podmiotom, to nie ma regulacji, które by go przed tym powstrzymały.

---

🧠 PODSUMOWANIE

Inspektor Ochrony Danych obsługuje 40–60 podmiotów, bo:

• prawo na to pozwala,
• outsourcing IOD jest tańszy dla JST i małych instytucji,
• zadania są powtarzalne i możliwe do standaryzacji,
• wiele jednostek organizacyjnych liczy się jako osobne podmioty,
• rynek outsourcingu jest nieuregulowany i opiera się na efektywności skali.

Praktyczna, „nieprzeładowana” lista dokumentów RODO dla usługi manikiurzystki / salonu manicure

 

Branża beauty ma więcej danych wrażliwych niż się wydaje, więc taka lista bardzo się przydaje 👍
Poniżej masz praktyczną, „nieprzeładowaną” listę dokumentów RODO dla usługi manikiurzystki / salonu manicure zatrudniającego do 5 pracowników, z monitoringiem i systemem online do rezerwacji wizyt.

---

1. Dokumenty obowiązkowe – fundament RODO

1.1. Rejestr czynności przetwarzania (RCzP) danych osobowych

Powinien obejmować co najmniej:

• klientki (wizyty, kontakt, historia zabiegów),
• rezerwacje online,
• pracowników,
• monitoring wizyjny,
• kontrahentów (księgowość, IT).

📌 Nawet przy 1–5 osobach RCzP jest wymagany, bo przetwarzanie jest ciągłe i zorganizowane.

---

1.2. Klauzule informacyjne (art. 13 RODO)

Oddzielne klauzule dla:

• klientek (na miejscu + online),
• systemu rezerwacji wizyt,
• pracowników,
• kandydatów do pracy,
• monitoringu.

📌 Klauzula dla klientek powinna uwzględniać:

• dane kontaktowe,
• historię wizyt,
• ewentualne uwagi dot. zdrowia (np. alergie).

---

1.3. Upoważnienia do przetwarzania danych

Dla:

• manikiurzystek,
• recepcji (jeśli jest),
• właścicielki salonu (jeżeli też realizuje usługi).

• ewidencja upoważnień (kto, od kiedy, do czego) lub Teczkę z pierwszymi egzemplarzami).

---

1.4. Umowy powierzenia danych

Obowiązkowe przy:

• systemie rezerwacji online,
• firmie IT / serwerach,
• biurze rachunkowym,
• firmie obsługującej monitoring (jeśli zewnętrzna).

📌 Brak umowy powierzenia = klasyczny błąd salonów beauty.

---

2. Monitoring – dokumenty konieczne

2.1. Regulamin monitoringu wizyjnego

Powinien zawierać:

• cel monitoringu (bezpieczeństwo, mienie),
• zakres kamer,
• czas przechowywania nagrań,
• osoby upoważnione do dostępu.

---

2.2. Oznaczenie monitoringu + klauzula informacyjna

• widoczne piktogramy kamer,
• klauzula RODO przy wejściu lub recepcji.

📌 Monitoring nie może obejmować:

• toalety,
• zaplecza socjalnego,
• miejsc przebierania.

---

3. Dokumenty organizacyjne i bezpieczeństwa

3.1. Polityka ochrony danych osobowych

Jedna, prosta polityka opisująca:

• jakie dane są zbierane,
• gdzie są przechowywane (system, papier),
• kto ma dostęp,
• jak są zabezpieczone (hasła, zamknięcia).

📌 W małym salonie 10–12 stron w zupełności wystarczy.

---

3.2. Analiza ryzyka

Uwzględniająca m.in.:

• system rezerwacji online,
• dostęp pracowników do danych klientek,
• monitoring,
• dokumentację papierową,
• urządzenia mobilne.

---

3.3. Procedura naruszeń danych

Na wypadek:

• włamania do systemu rezerwacji,
• zgubienia telefonu służbowego,
• ujawnienia danych klientki.

Kto decyduje o:

• zgłoszeniu do UODO,
• poinformowaniu klientów.

---

3.4. Procedura realizacji praw osób

Jak salon reaguje na:

• prośbę o dostęp do danych,
• usunięcie danych po zakończeniu usług,
• sprzeciw wobec monitoringu (jeśli możliwy).

---

4. Dokumenty specyficzne dla branży beauty

4.1. Zgody – tylko jeśli faktycznie potrzebne

Np.:

• zgoda na zdjęcia stylizacji (social media),
• zgoda marketingowa (SMS, e-mail).

📌 Usługa manicure nie wymaga zgody na przetwarzanie danych – podstawą jest umowa.

---

4.2. Zasady retencji danych

Określenie:

• jak długo dane klientek są przechowywane,
• kiedy są usuwane z systemu,
• kiedy niszczone są dokumenty papierowe.

---

5. Czego nie trzeba w takim salonie

❌ Inspektora Ochrony Danych (IOD)
❌ OSOD (DPIA →oceny skutków) – monitoring standardowy jej nie wymaga
❌ Rozbudowanych polityk korporacyjnych
❌ Zgód „na wszystko”

---

6. Checklista – w skrócie ✅

Salon manicure do 5 osób powinien mieć:

• ✔ Rejestr czynności przetwarzania
• ✔ Klauzule informacyjne (klientki, monitoring, online)
• ✔ Upoważnienia + ewidencję
• ✔ Umowy powierzenia (system rezerwacji!)
• ✔ Politykę ochrony danych
• ✔ Analizę ryzyka
• ✔ Procedury: naruszenia + prawa osób
• ✔ Regulamin monitoringu

---

Dlaczego firmy często ukrywają incydenty RODO

 

Oto kilka powodów, dlaczego firmy często ukrywają incydenty RODO, zamiast je zgłaszać:

---

💬 1. Strach przed karą

Najprostszy powód: firmy boją się sankcji finansowych i kontroli ze strony UODO.
Paradoksalnie jednak, niezgłoszenie incydentu może skończyć się gorzej niż samo jego ujawnienie — urząd coraz częściej karzą właśnie za brak reakcji, a nie za sam incydent.

---

🙈 2. Obawa o reputację

Wiele firm uważa, że przyznanie się do wycieku danych to „plama na wizerunku”.
Zamiast budować zaufanie poprzez transparentność, wolą zamiatać problem pod dywan.
Tymczasem klienci dużo lepiej reagują na uczciwą komunikację i szybkie działania naprawcze niż na milczenie.

---

🌀 3. Brak świadomości, że to w ogóle incydent

Nie każdy pracownik (ani nawet administrator) rozumie, czym incydent RODO naprawdę jest.
Zgubiony pendrive, wysyłka maila do złego odbiorcy, ujawnienie danych pracownika — to już incydent, który może wymagać zgłoszenia.

---

🧩 4. Brak procedur lub chaos organizacyjny

W wielu firmach nikt nie wie, co zrobić w pierwszych 24–72 godzinach po zdarzeniu.
Brak wyznaczonego procesu, kontaktu do IOD, czy checklisty — to główne powody, dla których zgłoszenie po prostu „nie dochodzi”.

---

⚖️ 5. Nadzieja, że „nikt się nie dowie”

Niektóre firmy liczą, że skoro incydent był „niewielki” albo „nikt go nie zauważył”, to temat się rozejdzie po kościach.
Ale to złudne — często ślady zostają w systemach, a sygnały trafiają do UODO od samych osób, których dane wyciekły.
Przedawnienie roszczeń z RODO to aż 6 lat.

---

Dywersyfikacja w RODO

 

Dywersyfikacja w RODO nie jest oficjalnym terminem z rozporządzenia, ale w praktyce oznacza rozproszenie ryzyk, procesów, dostawców lub środków bezpieczeństwa, aby nie opierać ochrony danych na jednym elemencie, który w razie awarii/ataku zawiedzie.
To koncept bardzo użyteczny w compliance i cyberbezpieczeństwie.

Poniżej 5 obszarów, w których realnie możesz wdrożyć dywersyfikację w RODO – wraz z praktycznymi przykładami.

---

1. Dywersyfikacja środków bezpieczeństwa

Nie opieraj się tylko na jednym mechanizmie (np. hasła).
Przykłady:

• hasła + MFA + paszporty kluczy sprzętowych (np. YubiKey),
• kopie zapasowe + szyfrowanie + segmentacja sieci,
• monitoring 24/7 + SIEM + regularne testy penetracyjne.

Efekt: jeśli jeden element zawiedzie – pozostałe wciąż chronią dane.

---

2. Dywersyfikacja procesów przetwarzania

Chodzi o to, aby nie mieć „single point of failure” w organizacji.
Przykłady:

• przypisanie więcej niż jednej osoby do kluczowych procesów (np. jedna osoba nie może być jedynym administratorem CRM),
• procedury awaryjne (plan B) dla każdego procesu przetwarzania,
• alternatywne kanały komunikacji w incydencie (np. poza e-mailem).

Efekt: awaria jednego systemu nie zatrzymuje obsługi klientów.

---

3. Dywersyfikacja dostawców i technologii

W RODO to szczególnie ważne przy powierzeniu przetwarzania danych.
Przykłady:

• dane backupowe u dwóch różnych dostawców (np. lokalny + chmura),
• dwa narzędzia marketingowe lub dwa kanały obsługi klienta,
• unikanie uzależnienia od jednego SaaS / jednego Data Center.

Efekt: ciągłość działania i mniejsze ryzyko naruszenia dostępności.

---

4. Dywersyfikacja miejsc przechowywania danych

Dane nie powinny leżeć w jednym miejscu ani w jednym formacie.
Przykłady:

• oddzielne repozytoria dla działów (zasada minimalizacji),
• kopie zapasowe offline + online,
• rozdzielenie danych identyfikacyjnych od danych operacyjnych (pseudonimizacja).

Efekt: utrudnienie ataku i ograniczenie skutków wycieku.

---

5. Dywersyfikacja wiedzy i kompetencji w organizacji

RODO nie może zależeć od jednej osoby.
Przykłady:

• szkolenie kilku osób w każdym dziale,
• procedura „zastępstwa Inspektora Ochrony Danych”,
• checklisty, instrukcje i standardy działań (SOP).

Efekt: większa odporność organizacji na błędy i rotację pracowników.

---

Jakiego IOD potrzebuje Twoja organizacja

 

Poniżej znajdziesz praktyczną checklistę „Jakiego IOD potrzebuje Twoja organizacja”, dedykowaną MŚP, napisaną oraz zorientowaną na realia małych i średnich firm.

---

Checklista dla MŚP

„Jakiego IOD potrzebuje Twoja organizacja?”

Ta lista pomoże ocenić, jakiego profilu inspektora ochrony danych faktycznie potrzebujesz, zamiast wybierać „najtańszego” lub „najbardziej formalnego”.

---

KROK 1: Czy w ogóle musisz powołać IOD?

Zaznacz TAK / NIE:

• ☐ Przetwarzasz dane osobowe na dużą skalę
• ☐ Przetwarzanie jest kluczowym elementem działalności (np. HR, marketing, usługi online)
• ☐ Przetwarzasz dane szczególnych kategorii (np. zdrowie, dane biometryczne)
• ☐ Prowadzisz regularne i systematyczne monitorowanie osób (np. tracking, monitoring wizyjny)

➡️ Jeśli masz choć jedno TAK – rozważ IOD (wewnętrznego lub zewnętrznego).

---

KROK 2: Profil przetwarzania danych w MŚP

Zaznacz, co najlepiej opisuje Twoją firmę:

• ☐ Głównie dane pracowników i klientów (HR, faktury, umowy)
• ☐ Intensywny marketing (newslettery, reklamy online, CRM)
• ☐ Usługi IT / SaaS / e-commerce
• ☐ Praca na danych w chmurze i systemach zewnętrznych
• ☐ Współpraca z wieloma podmiotami przetwarzającymi

➡️ Im więcej zaznaczeń technicznych i marketingowych, tym większe znaczenie kompetencji IT u IOD.

---

KROK 3: Ocena ryzyka naruszeń

Odpowiedz szczerze:

• ☐ Dane są przetwarzane w kilku systemach IT
• ☐ Pracownicy korzystają z pracy zdalnej
• ☐ Dane są przesyłane e-mailem lub przez chmurę
• ☐ Nie było audytu bezpieczeństwa w ostatnich 2 latach
• ☐ Incydenty zgłaszane są „po fakcie”

➡️ Jeśli większość odpowiedzi to TAK – potrzebujesz IOD, który rozumie ryzyko techniczne, nie tylko dokumentację.

---

KROK 4: Zasoby wewnętrzne MŚP

Sprawdź realne możliwości:

• ☐ Nie masz prawnika na stałe
• ☐ IT jest outsourcowane
• ☐ Kadra zarządzająca pełni wiele ról
• ☐ Brakuje czasu na bieżące śledzenie zmian w RODO

➡️ W takim przypadku najlepszy będzie zewnętrzny IOD z doświadczeniem w MŚP.

---

KROK 5: Jakiego profilu IOD potrzebujesz?

Wybierz dominujący profil:

🔹 IOD o profilu prawnym – jeśli:

• ☐ masz proste systemy IT
• ☐ główne ryzyka to umowy, zgody, HR
• ☐ boisz się kontroli PUODO i kar

🔹 IOD o profilu technicznym – jeśli:

• ☐ działasz online / w IT / e-commerce
• ☐ dane są przetwarzane w wielu systemach
• ☐ bezpieczeństwo danych to realne wyzwanie

🔹 IOD hybrydowy (rekomendowane dla MŚP) – jeśli:

• ☐ nie masz własnego prawnika ani security
• ☐ potrzebujesz „tłumacza” między prawem a IT
• ☐ chcesz realnie ograniczyć ryzyko, nie tylko „papier”

---

KROK 6: Czego NIE oczekiwać od IOD w MŚP

IOD:

• ⛔ nie przejmuje odpowiedzialności za zgodność z RODO,
• ⛔ nie podejmuje decyzji biznesowych,
• ⛔ nie zastępuje IT ani prawnika procesowego,
• ✅ doradza, monitoruje i wskazuje ryzyka.

---

Szybki test końcowy

Jeśli chcesz:

• ✔️ spać spokojnie przy incydencie,
• ✔️ mieć realne wsparcie przy decyzjach,
• ✔️ uniknąć „RODO tylko na papierze”,

➡️ wybierz IOD dopasowanego do ryzyka Twojej firmy, nie do ceny.

---